A veces hay situaciones en las que la cuenta de usuario de AD se sigue bloqueando. Esto sucede cuando intenta iniciar sesión en una computadora de dominio y obtiene un error en la pantalla de inicio de sesión: La cuenta a la que se hace referencia actualmente está bloqueada y es posible que no haya iniciado sesión en. Esta notificación significa que la política de seguridad del dominio de Active Directory bloquea automáticamente la cuenta y no se puede usar para iniciar sesión en la computadora del dominio.

El mensaje sobre el bloqueo de la cuenta se ve como se muestra en la siguiente captura de pantalla:

En este caso, la cuenta fue bloqueada debido a varios intentos de ingresar la contraseña incorrecta.

Política de dominio de bloqueo de cuenta de Active Directory

El número de intentos para ingresar la contraseña incorrecta se especifica en el Umbral de bloqueo de cuenta Opción de directiva de grupo, que se encuentra en la siguiente sección de GPO Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad > Políticas de cuenta > Política de bloqueo de cuenta.

La mayoría de las veces, las configuraciones de bloqueo de cuenta en el dominio se configuran a través de la Política de dominio predeterminada. Puede cambiar la política de bloqueo de cuenta en el dominio.

Además de Umbral de bloqueo de cuenta política, otra política en la sección Duración del bloqueo de la cuenta podría ser de interés. Esta política determina durante cuánto tiempo se bloquea la cuenta.

En nuestro ejemplo, la configuración de bloqueo de la cuenta de usuario en el dominio está configurada de la siguiente manera:

  • Umbral de bloqueo de cuenta: 10 intentos de inicio de sesión no válidos;
  • Duración del bloqueo de la cuenta: 10 minutos;
  • Reinicie el contador de bloqueo de cuenta después de 10 minutos.

La política de bloqueo de cuenta ayuda a proteger su dominio de ataques de fuerza bruta. Un script de fuerza bruta no podrá forzar una gran cantidad de combinaciones de contraseñas, porque después de cada 10 intentos de forzar contraseñas, la cuenta de destino se bloqueará.

la cuenta publicitaria se sigue bloqueando

Por lo tanto, si espera 10 minutos después del bloqueo, la cuenta se desbloqueará automáticamente.

A partir de la versión de Active Directory en Windows Server 2008, puede crear contraseñas individuales y políticas de bloqueo en un dominio para usuarios y grupos específicos. Para esto, Políticas de contraseñas detalladas (FGPP) son usados. Puede comprobar si se está aplicando un objeto de política de contraseñas (PSO) personalizado a un usuario específico con el siguiente comando de PowerShell (el mismo comando devolverá la configuración de bloqueo para ese usuario):

Get-ADUserResultantPasswordPolicy -Identity m.becker

Para enumerar la configuración de bloqueo en la Política de dominio predeterminada, ejecute el comando:

Get-ADDefaultDomainPasswordPolicy | select *lockout*|ft

esta cuenta está actualmente bloqueada en este controlador de dominio de directorio activo

Si LockoutDuration = 0, dicha cuenta nunca se desbloqueará automáticamente. Solo el administrador del dominio puede eliminar el bloqueo.

Si no desea esperar el desbloqueo automático, el administrador debe buscar la cuenta de usuario en la consola Usuarios y equipos de Active Directory. En el Cuenta pestaña, marque la casilla Desbloquear pestaña de cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory y presiona Aceptar.

el usuario sigue siendo bloqueado fuera del dominio

Puede comprobar si la cuenta de AD está bloqueada mediante el comando de PowerShell:

Import-Module ActiveDirectory

Get-ADUser -Identity m.becker -Properties LockedOut | Select-Object samaccountName,Lockedout

la cuenta de usuario sigue siendo bloqueada en el directorio activo

El cmdlet Search-ADAccount le permite mostrar información sobre todas las cuentas bloqueadas en un dominio:

Search-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName, Lockedout

esta cuenta está actualmente bloqueada en este controlador de dominio

Nota. O puede usar el cmdlet de PowerShell Unlock-ADAccount para desbloquear una cuenta de usuario:

Unlock-ADAccount jjackson –Confirm

Si desea desbloquear todas las cuentas a la vez, ejecute:

Search-ADAccount –LockedOut -UsersOnly | Unlock-ADAccount

¿Cómo encontrar la fuente de bloqueo de cuenta en el dominio?

Pero en algunos casos, el bloqueo de las cuentas se produce sin motivo aparente. En tal situación, los usuarios informan que no hicieron nada y nunca ingresaron la contraseña incorrecta, pero su cuenta por alguna razón está bloqueada. El administrador puede eliminar manualmente el bloqueo a pedido del usuario, pero después de un tiempo, la situación se repite.

En este caso, primero debe determinar el nombre o la dirección IP de la computadora/servidor desde el cual se produce el bloqueo. Para hacer esto, verifique si el Gestión de cuentas de usuario de auditoría La política está habilitada en los controladores de dominio en la Política de controladores de dominio predeterminada. Inicie la Consola de administración de directivas de grupo (gpmc.msc) y vaya a Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Política de auditoría sección

Active las casillas de verificación: Definir esta configuración de política, Audite estos intentos: Éxito y Falla. Guarde los cambios en el GPO.

la cuenta se bloquea con frecuencia en el directorio activo

Debe buscar eventos de bloqueo de cuenta de dominio en el controlador de dominio PDC. Utilice el siguiente comando de PowerShell para localizar el controlador de dominio que ejecuta la función de emulador de PDC:

get-addomain | select PDCEmulator

la cuenta publicitaria sigue bloqueando Windows 10

Inicie sesión en el PDC y abra el Visor de eventos (eventvwr.msc). Expandir Visor de eventos > Registros de Windows > Seguridad. Haga clic derecho en el Seguridad elemento y seleccione Filtrar registro actual.

la cuenta del directorio activo se sigue bloqueando

Filtrar el registro de seguridad por evento con ID de evento 4740.

la cuenta de dominio sigue siendo bloqueada

Verá una lista de eventos cuando se bloquearon cuentas de usuario de dominio en este DC (con un mensaje de evento Se bloqueó una cuenta de usuario). Encuentre la última entrada en el registro que contiene el nombre del usuario deseado en el Nombre de la cuenta valor. El nombre del equipo desde el que se realizó el bloqueo se especifica en el Nombre de la computadora de la persona que llama valor. En este caso, el nombre de la computadora es LON-DC01.

la cuenta publicitaria se bloquea con frecuencia

Obtener fuente de bloqueo de cuenta mediante PowerShell

Además, puede encontrar el origen del bloqueo de la cuenta en el controlador de dominio con el rol FSMO de PDC mediante PowerShell. Use el siguiente código para enumerar los últimos eventos de bloqueo de cuenta en el DC:

$properties = @(

'TimeCreated',

@{n='Account Name';e={$_.Properties[0].Value}},

@{n='Caller Computer Name';e={$_.Properties[1].Value}}

)

Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740} | Select $properties

la cuenta de dominio se sigue bloqueando

Puede obtener la fuente de bloqueo de la cuenta desde el campo 'Nombre de la computadora que llama'.

Puede encontrar las fuentes de eventos de bloqueo para un usuario específico en los últimos 2 días usando el comando:

$username = ‘m.becker’

$pdcname=(get-addomain).PDCEmulator

$Date = (Get-Date).AddDays(-2)

Get-WinEvent -computername $pdcname -FilterHashtable `

@{logname="security";id=4740;data="m.becker"; StartTime=$Date} |`

Select-Object -Property timecreated,`

@{label="username";expression={$_.properties[0].value}},`

@{label="computername";expression={$_.properties[1].value}}

la cuenta de usuario sigue siendo bloqueada

Causas comunes de bloqueos de cuentas

La mayoría de las veces, el bloqueo de la cuenta comienza después de que el usuario haya cambiado la contraseña del dominio. Un bloqueo periódico de la cuenta puede deberse a diferentes motivos. Más comúnmente, en un entorno de producción, los eventos de bloqueo de cuenta están asociados con las siguientes causas:

  1. En realidad, se está realizando un ataque de fuerza bruta en su dominio. Encuentre y deshabilite la computadora de origen de acuerdo con esta guía;
  2. Errores de usuario al escribir una contraseña. El usuario se equivoca al ingresar una contraseña u olvidó la contraseña que fue cambiada recientemente;
  3. Una sesión RDP/RDS no cerrada: generalmente ocurre si el usuario cerró (desconectó) una sesión remota en lugar de cerrar la sesión. No puede evitar este problema configurando la directiva Forzar el cierre de sesiones de Escritorio remoto inactivo en el dominio. Esto se puede configurar usando la política Establezca un límite de tiempo para sesiones activas pero inactivas de Servicios de Escritorio remoto en la sección GPO Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de escritorio remoto > Host de sesión de escritorio remoto > Límites de tiempo de sesión;
  4. Contraseña de usuario guardada en Servicios de Windows. No use la cuenta de usuario para ejecutar servicios en servidores/computadoras de dominio. Use la cuenta de servicio separada en su lugar (con la contraseña configurada para que nunca caduque) o agrupe las cuentas de servicio administradas;
  5. Credenciales de usuario guardadas en los trabajos del Programador de tareas. Al igual que con los servicios, las cuentas de usuario se utilizan a menudo para ejecutar la tarea del programador. Es mejor usar cuentas de servicio para ejecutar tareas programadas;
  6. Dispositivos móviles con credenciales de usuario guardadas: verifique la configuración del cliente de correo electrónico en su dispositivo móvil para ver las credenciales de AD guardadas (como Outlook, ActiveSync, etc.). Las contraseñas guardadas para las conexiones Wi-Fi también se pueden asignar a esta categoría (si utiliza la autenticación Wi-Fi con Windows Active Directory a través del servidor Radius);
  7. Contraseña guardada en navegadores;
  8. Contraseña de usuario guardada en el Administrador de credenciales de Windows. Abra Credential Manager (rundll32.exe keymgr.dll, KRShowKeyMgr) y elimine todas las credenciales guardadas.

Uso de la herramienta de bloqueo de cuentas para realizar un seguimiento de los eventos de bloqueo

Para encontrar la fuente de bloqueo de la cuenta en todos los controladores de dominio, puede usar el conveniente LockoutStatus.exe herramienta (Herramientas de administración y bloqueo de cuentas).

Descargue la herramienta de administración y bloqueo de cuentas de Microsoft (ALTools.exe), extraiga el archivo y ejecute la utilidad LockoutStatus.exe. Seleccione el menú Archivo > Seleccione un objetivo e ingrese el nombre de usuario necesario (SAMAccountName).

la cuenta publicitaria sigue bloqueada

Si ejecuta la utilidad Estado de bloqueo de cuenta de Microsoft con una cuenta de usuario sin privilegios, marque la casilla "Usar credenciales alternativas" y especifique las credenciales de cuenta con privilegios de administrador de dominio. Esto es necesario para conectarse a los controladores de dominio de AD y seleccionar eventos de bloqueo de cuentas del registro de seguridad. La utilidad LockoutStatus.exe hace lo mismo: busca eventos con el EventID 4740 de los registros del controlador de dominio y muestra los datos totales de los eventos y la cuenta de usuario.

Aquí puede ver el estado actual del usuario en todos los DC (bloqueado), Tiempo de bloqueo, el valor de Recuento de contraseñas incorrectas en cada DC, y el nombre de la computadora desde la cual ocurrió el bloqueo (Bloqueo original).

la cuenta publicitaria se bloquea constantemente

Puede desbloquear la cuenta de usuario directamente desde la herramienta en lugar de usar la consola ADUC. Para hacer esto, seleccione un DC, haga clic derecho en el usuario y seleccione 'Desbloquear cuenta'. Este cambio se replicará instantáneamente en todos los DC del dominio y el usuario podrá iniciar sesión en los equipos del dominio. También puede cambiar la contraseña de usuario seleccionando el 'Restablecer contraseña de usuario' opción del menú.

cuenta de usuario bloqueada con frecuencia windows 10

¡Eso es todo! ¡Espero que esto haya sido útil para solucionar los problemas cuando la cuenta de AD sigue bloqueándose!

Recomendado para ti